Configuración UBUNTU SERVER 18.04 Servidor Dnssec Failover, Firewall 3 legs y DMZ Grado superior Administración de Sistemas Informáticos en Red IES Rodrigo Caro (Coria del Río, Sevilla) Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (CORIA DEL RÍO, SEVILLA) Trabajo realizado por: Luisa Molina y Mjosé Fernández FECHA: 20/12/2018 ÍNDICE 1. Mapa de red 2. Configuración Inicial 3. Dns Failover 4. Dns Secure 5. Firewall 3 legs 6. Zona Desmilitarizada (DMZ) 7. IPV6 y Servidor de archivos 8. Bibliografía Grado superior Administración de Sistemas Informátic os en Red IES RODRIGO CARO (CORIA DEL RÍO, SEVILLA) 1. Mapa de Red Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) 2.1 Configuración de máquinas virtuales 2. Configuración Inicial Router 1: Con salida a internet Dos tarjetas, una red interna y otra adaptador puente S.O Opensense Router 2: Firewall de 3 patas: Tres tarjetas red internas S.O Opensense Servidor DNS 1: Servidor Primario Una tarjeta red interna S.O Ubuntu Server 18.04 Servidor DNS 2: Servidor Secundario DNS y servidor archivos Una tarjeta red interna S.O Ubuntu Server 18.04 Clientes: Una tarjeta red interna. 1. S.O Debian 9 2. S.O Windows 10 Máquinas virtuales Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) 2.1 Configuración de Red 2. Configuración Inicial Configuración de Red Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) 2.1 Configuración de Red 2. Configuración Inicial Configuración de Red Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Acceso inicial a Internet Clientes y Servidores 2. Configuración Inicial Configuración de Red A través del navegador del cliente, accedemos al router 2 (el de tres patas) para permitir la red opt1 y opt2. Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) 3. Configuración Servidores DNS en relación de Failover Zona directa, inversa y servidor secundario. Para explicar la configuración de DNS Primario y Secundario se ha elaborado otro PowerPoint paso a paso. Para consultarlo visite: https://es.slideshare.net/luisamg31/dns-primario-y-secundario-en-ubuntuserver-1804 En resumen, se han creado los ficheros de zona directa e inversa en el servidor primario, y se han transferido al secundario para que cuando el primero falle, el segundo pueda ejercer de servidor DNS en su lugar. Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) 3. Configuración Servidores DNS en relación de Failover Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) SERVIDOR PRIMARIO (Maestro) 4. DnsSec Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) 4. Dns Secure SERVIDOR PRIMARIO (Maestro) - ZONA DIRECTA 4. Dns Secure SERVIDOR PRIMARIO (Maestro) - ZONA DIRECTA Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Para la zona inversa, realizamos los mismos pasos anteriores pero sustituyendo mjlui.es. (zona directa) por 192.168.20.in-addr.arpa (zona inversa). 4. DnsSec SERVIDOR PRIMARIO (Maestro) - ZONA INVERSA **Importante modificar el script y volver a ejecutarlo** Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Vemos que, después de ejecutar el script, se han incluido las zonas firmadas dentro de los archivos de zona: 4. DnsSec SERVIDOR PRIMARIO (Maestro) - ZONA INVERSA Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Último paso: 4. DnsSec SERVIDOR PRIMARIO (Maestro) - ZONA INVERSA Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Servidor Secundario 1º Configuramos el archivo /etc/bind/named.conf.options para permitir el dnssec (como hicimos en servidor primario) 4. DnsSec SERVIDOR SECUNDARIO (Esclavo) Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Servidor Secundario 4. DnsSec Comprobación Dnssec **Si quisiéramos registrar o tuviéramos registrado nuestro dominio (de pago) deberíamos realizar uno pasos últimos para registrar correctamente nuestro dnssec, documentados en el link nº de la bibliografía.** Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Esta es la configuración del router secundario. 5. Firewall three legs con DMZ Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Entramos en el router por el navegador de un cliente. Ambos deberán estar en la misma red. 5. Firewall three legs con DMZ Subtitulos/subapartado Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) Al entrar nos pide la configuración del router. 5. Firewall three legs con DMZ 5. Firewall three legs con DMZ Modificamos las tarjetas de red. 5. Firewall three legs con DMZ 5. Firewall three legs con DMZ Configuramos las reglas del Firewall y DMZ. En el apartado Firewall → Rules → Floating 5. Firewall three legs con DMZ Con esta regla denegamos que los servidores accedan a la red de los clientes. Con esta regla habilitamos que los clientes puedan acceder a los servidores por el puerto 53 (DNS). Ahora configuramos las reglas de los clientes. Nos vamos al apartado Firewall → Rules → CLIENTES Con esta regla, en la tarjeta cliente, lo permitimos todo. 5. Firewall three legs con DMZ Con esta regla, permitimos que la red LAN acceda a los clientes y viceversa. De esta forma los clientes podrán tener internet. Con esta regla, permitimos que puedan acceder a los clientes por el puerto 53 (DNS). Con esta última regla, denegamos que los servidores puedan acceder a los clientes. Configuramos las reglas de los servidores o DMZ. Nos vamos al apartado Firewall → Rules → DMZ Con esta regla permitimos que los servidores accedan a la red LAN para que puedan salir a internet. 5. Firewall three legs con DMZ Con esta regla permitimos que los clientes puedan acceder a los clientes. Con esta regla permitimos que los servidores puedan acceder a los clientes a través del DNS. Con esta regla denegamos que los servidores puedan acceder a los clientes de cualquier otra forma. Por último configuramos las reglas de la red LAN. Nos vamos al apartado Firewall → Rules → LAN 5. Firewall three legs con DMZ Estas tres reglas vienen en el router por defecto. La primera sirve para que no se puedan bloquear las reglas de administración. Las dos últimas sirven para que permitan cualquier regla tanto de IPV4 como de IPV6. Con esta regla permitimos que los clientes puedan acceder a la red LAN y viceversa. Con esta permitimos que los servidores puedan acceder a la red LAN y viceversa. Con esta última regla bloqueamos que lo servidores puedan acceder a los clientes. Ahora haremos algunas comprobaciones desde los clientes. Aquí comprobamos que el cliente tiene internet. 5.Firewall three legs. Comprobaciones Y aquí comprobamos que tenemos conexión con uno de los servidores. 5.Firewall three legs. Comprobaciones Desde los servidores también haremos algunas comprobaciones. Aquí comprobamos que tenemos internet en los servidores. Aquí comprobamos que los servidores no pueden conectarse con los clientes. Vamos a configurar Samba como servidor de archivos para compartir carpetas. 1. Primero instalamos Samba. 6. Servidor de archivos 2. Ahora solo debemos configura Samba. a) Modificamos el fichero /etc/samba/smb.conf. Servidor secundario como servidor de datos Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) b) A continuación, creamos la carpeta compartida y le damos permisos. c) Vamos a crear un archivo de texto dentro de la carpeta compartida. 6. Servidor de archivos d) Finalmente, reiniciamos el servicio de Samba. e) Ahora vamos a crear un usuario y lo agregamos a samba. 6. Servidor de archivos. Comprobación Vamos a realizar la comprobación desde un cliente Windows. Vamos a configurar las IPV6 en los servidores y en el router de tres patas o DMZ. 1. Primero configuramos las tarjetas de red de los servidores. 7. Configuración IPV6 2. Configuramos el router de tres patas. 7. Configuración IPV6. Comprobación Realizamos ping entre las máquinas. Configuración Dns Primario y Secundario 8. Lista de comandos Lista de comandos utilizados durante todo el proceso. Apt-get install bind9 Named-checkconf Named-checkzone Sytemctl reload/start bind9 Ufw allow 53 Ln –s /run/systemd/resolve/resolv.conf /etc/resolv Nslookup y ping Configuración Dns Secure Dnssec-keygen Dnssec-signzone Sytemctl reload/start bind9 Configuración Servidor de archivos Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla) https://www.agesic.gub.uy/innovaportal/file/1065/1/DNSSEC_ parte1_CERTificate.pdf https://www.digitalocean.com/community/tutorials/how-tosetup-dnssec-on-an-authoritative-bind-dns-server--2 9. Bibliografía Links que nos ha servido de guía para realización de este trabajo. https://es.slideshare.net/luisamg31/dns-primario-ysecundario-en-ubuntu-server-1804 https://www.howtoforge.com/configuring-dnssec-on-bind99.7.3-on-debian-squeeze-ubuntu-11.10 https://es.slideshare.net/FernandoParrondo/configuracindnssec-con-bind Grado superior Administración de Sistemas Informáticos en Red IES RODRIGO CARO (Coria del Río, Sevilla)